网络犯罪分子利用图片标签中的Onerror事件窃取支付信息
字数 1653 2025-08-22 12:23:36

利用图片标签Onerror事件窃取支付信息的技术分析及防御措施

一、攻击概述

网络安全研究人员近期发现了一种新型MageCart恶意软件变种,该变种通过HTML `` 标签的onerror事件执行恶意代码,专门针对运行Magento等电商平台的网站窃取用户支付信息。

二、技术细节分析

1. MageCart恶意软件特点

  • 目标平台:主要针对Magento、WooCommerce、PrestaShop等电商平台
  • 攻击方式:在结账页面植入信用卡信息窃取程序
  • 窃取手段
    • 展示虚假支付表单
    • 实时捕获用户输入的支付信息
  • 历史隐蔽技术
    • 隐藏在假图片、音频文件中
    • 伪装成网站图标(favicon)
    • 嵌入404错误页面

2. 新型攻击技术细节

2.1 利用``标签的隐蔽性

  • 攻击者将恶意内容隐藏在HTML的``标签中
  • 利用``标签的"无害性"规避安全扫描
  • 恶意代码采用Base64编码

2.2 滥用onerror事件

  • 正常行为:当图片加载失败时,onerror触发浏览器显示破损图片图标
  • 恶意利用:劫持onerror事件执行JavaScript代码
  • 执行条件:仅在图片加载失败时触发,增加隐蔽性

2.3 攻击流程

  1. 检测用户是否处于结账页面
  2. 等待用户点击提交按钮
  3. 动态插入包含三个字段的恶意表单:
    • 卡号
    • 有效期
    • CVV安全码
  4. 将窃取的信息发送到攻击者控制的服务器(如wellfacing[.]com)

3. 攻击优势分析

  1. 规避检测:将恶意脚本编码到``标签中,绕过常规安全扫描
  2. 用户无感知:恶意表单插入过程隐蔽,用户难以察觉异常
  3. 持久性:利用浏览器默认信任onerror函数的特性

三、相关攻击技术扩展

1. WordPress必用插件(mu-plugins)后门

  • 目录特性
    • 每次页面加载自动加载
    • 无需激活
    • 不显示在标准插件列表中
  • 攻击利用
    • 植入后门PHP代码
    • 保持持久性
    • 规避管理面板检测

四、防御措施

1. 针对电商平台的防护

  1. 输入验证与过滤

    • 严格过滤所有用户输入内容
    • 特别检查``标签中的onerror等事件属性

  2. 内容安全策略(CSP)

    • 实施严格的内容安全策略
    • 限制内联脚本执行
    • 只允许可信来源的脚本

  3. 定期安全扫描

    • 使用专业工具扫描Base64编码内容
    • 检查所有HTML元素的异常属性

  4. 代码审计

    • 定期审计网站代码
    • 特别关注结账页面的代码完整性

2. 针对WordPress的防护

  1. 必用插件目录监控

    • 定期检查mu-plugins目录
    • 验证所有文件的合法性和必要性

  2. 文件完整性检查

    • 实施文件完整性监控
    • 对核心文件和插件进行哈希校验

3. 通用防护建议

  1. 保持系统更新

    • 及时应用电商平台的安全补丁
    • 更新所有插件和扩展

  2. Web应用防火墙(WAF)

    • 部署WAF检测异常请求
    • 配置规则拦截可疑的HTML属性滥用

  3. 安全意识培训

    • 培训开发人员了解此类攻击手法
    • 提高对隐蔽代码执行的警觉性

五、检测与响应

1. 检测方法

  1. 静态分析

    • 搜索HTML中异常的onerror属性
    • 检查Base64编码的可疑内容

  2. 动态分析

    • 监控结账页面的DOM变化
    • 检测异常的外部请求

  3. 网络流量分析

    • 监控向可疑域名(如wellfacing[.]com)的请求
    • 分析异常的数据外传

2. 应急响应

  1. 立即隔离

    • 隔离受感染的系统
    • 暂时关闭结账功能

  2. 取证分析

    • 确定攻击入口点
    • 分析恶意代码行为

  3. 恢复与加固

    • 从干净备份恢复
    • 实施额外的安全控制措施

六、总结

这种利用``标签onerror事件的新型MageCart攻击展示了攻击者如何利用HTML标准特性的隐蔽性来绕过安全检测。防御此类攻击需要多层次的安全措施,包括严格的输入验证、内容安全策略实施、定期代码审计以及对非常规存储位置(如WordPress的mu-plugins目录)的持续监控。电商平台作为高价值目标,应特别重视结账流程的安全性,实施额外的防护和监控措施。

利用图片标签Onerror事件窃取支付信息的技术分析及防御措施 一、攻击概述 网络安全研究人员近期发现了一种新型MageCart恶意软件变种,该变种通过HTML `` 标签的 onerror 事件执行恶意代码,专门针对运行Magento等电商平台的网站窃取用户支付信息。 二、技术细节分析 1. MageCart恶意软件特点 目标平台 :主要针对Magento、WooCommerce、PrestaShop等电商平台 攻击方式 :在结账页面植入信用卡信息窃取程序 窃取手段 : 展示虚假支付表单 实时捕获用户输入的支付信息 历史隐蔽技术 : 隐藏在假图片、音频文件中 伪装成网站图标(favicon) 嵌入404错误页面 2. 新型攻击技术细节 2.1 利用 `` 标签的隐蔽性 攻击者将恶意内容隐藏在HTML的 `` 标签中 利用 `` 标签的"无害性"规避安全扫描 恶意代码采用Base64编码 2.2 滥用 onerror 事件 正常行为:当图片加载失败时, onerror 触发浏览器显示破损图片图标 恶意利用:劫持 onerror 事件执行JavaScript代码 执行条件:仅在图片加载失败时触发,增加隐蔽性 2.3 攻击流程 检测用户是否处于结账页面 等待用户点击提交按钮 动态插入包含三个字段的恶意表单: 卡号 有效期 CVV安全码 将窃取的信息发送到攻击者控制的服务器(如wellfacing[ . ]com) 3. 攻击优势分析 规避检测 :将恶意脚本编码到 `` 标签中,绕过常规安全扫描 用户无感知 :恶意表单插入过程隐蔽,用户难以察觉异常 持久性 :利用浏览器默认信任 onerror 函数的特性 三、相关攻击技术扩展 1. WordPress必用插件(mu-plugins)后门 目录特性 : 每次页面加载自动加载 无需激活 不显示在标准插件列表中 攻击利用 : 植入后门PHP代码 保持持久性 规避管理面板检测 四、防御措施 1. 针对电商平台的防护 输入验证与过滤 : 严格过滤所有用户输入内容 特别检查 ``标签中的 onerror 等事件属性 内容安全策略(CSP) : 实施严格的内容安全策略 限制内联脚本执行 只允许可信来源的脚本 定期安全扫描 : 使用专业工具扫描Base64编码内容 检查所有HTML元素的异常属性 代码审计 : 定期审计网站代码 特别关注结账页面的代码完整性 2. 针对WordPress的防护 必用插件目录监控 : 定期检查mu-plugins目录 验证所有文件的合法性和必要性 文件完整性检查 : 实施文件完整性监控 对核心文件和插件进行哈希校验 3. 通用防护建议 保持系统更新 : 及时应用电商平台的安全补丁 更新所有插件和扩展 Web应用防火墙(WAF) : 部署WAF检测异常请求 配置规则拦截可疑的HTML属性滥用 安全意识培训 : 培训开发人员了解此类攻击手法 提高对隐蔽代码执行的警觉性 五、检测与响应 1. 检测方法 静态分析 : 搜索HTML中异常的 onerror 属性 检查Base64编码的可疑内容 动态分析 : 监控结账页面的DOM变化 检测异常的外部请求 网络流量分析 : 监控向可疑域名(如wellfacing[ . ]com)的请求 分析异常的数据外传 2. 应急响应 立即隔离 : 隔离受感染的系统 暂时关闭结账功能 取证分析 : 确定攻击入口点 分析恶意代码行为 恢复与加固 : 从干净备份恢复 实施额外的安全控制措施 六、总结 这种利用 ``标签 onerror 事件的新型MageCart攻击展示了攻击者如何利用HTML标准特性的隐蔽性来绕过安全检测。防御此类攻击需要多层次的安全措施,包括严格的输入验证、内容安全策略实施、定期代码审计以及对非常规存储位置(如WordPress的mu-plugins目录)的持续监控。电商平台作为高价值目标,应特别重视结账流程的安全性,实施额外的防护和监控措施。